日本の航空会社2社が相次いで不正アクセスの被害を受け、大量の顧客情報が流出したと先日報道されました。全日空は3月5日、スイスのデータ管理会社「SITA」が不正アクセスを受けたことで、「ANAマイレージクラブ」の会員情報約100万人分が外部に漏れたと発表しました。また日本航空も5日、会員制サービス「JALマイレージバンク(JMB)」の個人情報92万人分が外部に流出したと発表しました。これはこの2社も含む全世界9割の航空会社が使う旅客システム企業SITA(Societe International de Telecommunications Aeronautiques)がサイバー攻撃を受けたことが原因です。現在でもこの事例以外に企業を狙った不正アクセス被害は後を断ちません。今回は近年の不正アクセスの動向や原因、対処法などをレポートします。
不正アクセスによる情報漏えいの事例
ANAとJALの会員情報流出、予約システム会社にサイバー攻撃
全日本空輸(ANA)は6日、マイレージ会員の氏名など約100万人分の情報が流出したと発表した。ANAが所属する航空連合の一部加盟社が使っていた予約システム会社が、サイバー攻撃を受けたため。ANAは同システムを使っていないが、この一部加盟社と共有していた情報が漏洩した。
他の航空会社も情報流出の被害を受けており、日本航空(JAL)は5日、約92万人分の会員情報が流出したと発表した。
サイバー攻撃を受けたのは、予約システムを提供するスイスのSITA社。原因は同社が調査中で、すでに対策を講じたという。
SITA社へのサイバー攻撃を巡っては、JALも航空連合「ワンワールド」の加盟社間で共有していた約92万人分の情報が流出した。ANAと同じく会員番号と名前、ステータスが漏洩。JALによると、情報が悪用された形跡はない。JALの約92人万も、マイレージ会員全体の約3%に当たる。
両社とも会員に対して電子メールを送付、ホームページなどでも周知している。
こちらは冒頭でご紹介したSITA社への攻撃によって引き起こされた、日本の航空会社の情報漏えい事例です。日本航空および全日空は、世界各国での利便性のため、日本航空は「ワンワールド」、全日空は「スターアライアンス」という航空連合を組んでいて、機内サービスなどのためほかの加盟社と会員のステータスの情報などを共有していますが、いずれもこの加盟社の一部がSITA社を利用していたため、会員情報が漏えいしたということです。
同社は中央ヨーロッパ時間3月4日、SITAが「サイバー攻撃の犠牲者」となり、米国にある同社のサーバーに保存されていた一部の乗客データが流出したと発表しています。2月24日にサイバー攻撃が確認された後、同社は影響を受けた航空会社に速やかに連絡したといいます。
通販サイトに不正アクセス、顧客情報流出の可能性 - フレーバーライフ社
アロマオイルなどの輸入、販売を手がけるフレーバーライフ社は、同社通信販売サイトが不正アクセスを受け、顧客情報が流出した可能性があることを明らかにした。
同社によれば、6月28日未明に通販サイトなどで利用する外部のサーバーが不正アクセスを受けたもの。サーバー内部に保存されていた顧客情報1万1156件が外部に流出した可能性がある。氏名や住所、性別、電話番号、メールアドレス、パスワード、利用履歴、顧客より受信したメールなどの個人情報が含まれる。
同月26日ごろより不正アクセスがあり、問い合わせフォームの脆弱性が侵入経路となったと見られている。情報流出にくわえ、サーバー内のデータが改ざんされる被害なども発生。システムの修復は不可能な状態だという。
フレーバーライフ社は公式サイトで、不正侵入により、サーバー内のデータが外部に流出し、第三者により読み書き可能な状態となったことが確認されたことを公表しました。サーバー内部に保存されていた顧客情報も、サーバー外部に流出した可能性があること、侵入者の意図が不明であるものの外部の第三者による利用が可能であると結論しています。
PayPayのサーバーに不正アクセス 加盟店情報など2000万件に流出の可能性
スマートフォン決済サービス「PayPay」を運営するPayPayは12月7日、同社が管理するサーバーが不正アクセスの被害を受け、加盟店の名称、住所、代表者名など2007万6016件の情報が流出した恐れがあると発表した。現時点でこれらが悪用された形跡はなく、一般ユーザーの個人情報は流出していないという。
流出の恐れがある情報は上記の他、PayPayの営業先の名称と住所、PayPay従業員の氏名と連絡先、PayPayの代理店・パートナー企業の社名と担当者名など。11月28日にブラジルからの不審なアクセス履歴を発見し、12月1日から調査した結果、情報流出の可能性を確認したという。
2020個人情報漏えい・紛失事故の原因1位は不正アクセス
東京商工リサーチの調査によりますと、2020年における「上場企業の個人情報漏えい・紛失事故」で個人情報の漏えい・紛失事故は2,500万人分超となり、累計では1億1,404万人分が漏えいしました。個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分となります。この数値は、調査が開始された2012年以降で、2013年の事故件数107件に次いで2位、社数は2013年の87社を上回り最多となります。また事故件数が100件を上回ったのは7年ぶりになります。個別の事故での漏えい件数では、ソフトバンクグループ(PayPay)からの2,007万件流出が、2020年では最多となります。これは、2013年5月のヤフー(現:Zホールディングス)の最大2,200万ID流出に次ぐ被害となっています。
事故件数103件のうち、理由として最も多かったのは「ウイルス感染・不正アクセス」の51件で全体の49.5%に上ります。流出した個人情報は2372万7268件に及び、20年全体(2515万47件)の94.3%を占めています。また、事故1件当たりの情報漏えい・紛失件数の平均は「ウイルス感染・不正アクセス」が57万8714件。メールの送信間違いなどの「誤表示・誤送信」(1万4392件)、保管しておくべき書類や記録メディアを廃棄した「紛失・誤廃棄」(7万4768件)に比べ、被害件数が桁違いに大きい結果となっています。
不正アクセスを防止するために企業がとるべき対策とは
1. ソフトウェアの更新
不正アクセスへの対策として、まずはソフトウェアをこまめに更新するという方法が挙げられます。ソフトウェアは時間が経つにつれて脆弱性が発見されていくものです。そのため、ソフトウェアは常に最新のものにアップデートしておく必要があるのです。ソフトウェアの開発元やメーカーからは、更新プログラムの内容に関する告知が送られてくることがあります。告知の内容の中でも、特に脆弱性の修正に関する部分については普段から注意を払っておき、状況に応じて迅速に判断して対応を行う必要があるでしょう。
2. SQLインジェクションへの対策
不正アクセスの攻撃方法の一つであるSQLインジェクションへの対策を行っておくのも重要なポイントです。SQLインジェクションの対策がなされていないウェブサイトの場合、不正ログインやデータの流出、ホームページの改ざんなどの被害を被る恐れがあります。SQLインジェクション対策としては、ウェブアプリケーションへの不正アクセスを防ぐことができるウェブアプリケーションファイアウォールを利用することが効果的な方法だといえます。
3. ファイアウォールの導入
ファイアウォールとは、セキュリティ対策のひとつであり、ネットワーク通信上で動作するソフトウェア・アプリケーションです。会社全体を不正なプログラムから保護できる点は、ファイアウォール最大のメリットです。さらに、ネットワーク全体に用いるファイアウォールも導入して二重の防御をすることで、より高いセキュリティを実現できます。
ファイアウォールは、内部から外部への不正なアクセスも監視するため、ユーザーを騙してマルウェアに感染させるような悪意のあるサイトへのアクセスを遮断し、マルウェアがインストールされないよう防御することも可能です。
4. ゼロトラスト次世代セキュリティ
ゼロトラストネットワークとは、「ゼロトラスト(Zero Trust)」の概念、考え方を実現するネットワークのことです。この「ゼロトラスト」とは、2010年にアメリカの調査会社であるForrester Research社の調査員ギンダーバーグ氏によって提唱されたネットワークセキュリティ概念です。全てが信用できないということを前提にしてあらゆる端末や通信のログを記録できるように作り上げるネットワークがゼロトラストネットワークです。
近年、外部からの不正アクセスを守る役割を担ってきたファイアウォールだけでは、巧妙化したサイバー攻撃や不正アクセスから、社内システムや情報資産を守れなくなっています。内部からの情報流出は企業におけるサイバー上の脅威で、毎年トップ10に入ります。そのため、ゼロトラストをベースにすることで、あらゆる社内システムをクラウド上に構築し、セキュリティ対策もクラウドゲートウェイ内に構築するような形にすることで、社内ネットワークを破棄するような対策も必要になってきています。
さいごに
不正アクセスによって、企業は情報漏えいやシステムの停止などの被害を受けることになります。その結果、企業のブランドイメージを大きく損ねたり、業務に支障をきたしたりする恐れがあります。コロナ禍で広がった働き方の変化によって、企業は柔軟なネットワークシステムなどIT環境への投資が求められると同時に、これまで以上にセキュリティ対策や情報管理の体制づくりが重要です。
不正アクセスの対策はアジア・パシフィック1位のWAF「WAPPLES」
WAFを含む5つの必須セキュリティサービス、Cloudbric WAF+
